オーストラリアが未パッチのCiscoデバイスへのBadCandy感染を警告
オーストラリア政府は、国内の未パッチのCisco IOS XEデバイスに対するサイバー攻撃が継続しており、ルーターがBadCandyウェブシェルに感染していると警告しています。これらの攻撃で悪用されている脆弱性は、最大深刻度のCVE-2023-20198で、認証されていないリモートの攻撃者がウェブユーザーインターフェースを介してローカル管理者ユーザーを作成し、デバイスを乗っ取ることが可能になります。
脆弱性の詳細と悪用
Ciscoは2023年10月にこの脆弱性を修正し、その後、積極的に悪用されている問題としてマークされました。2週間後には公開エクスプロイトが利用可能になり、インターネットに公開されているデバイスへのバックドア植え付けのための大規模な悪用が加速しました。
継続する攻撃とBadCandyの持続性
オーストラリア当局は、2024年と2025年を通じて、同じLuaベースのBadCandyウェブシェルの亜種が攻撃に引き続き使用されていると警告しており、多くのCiscoデバイスが依然としてパッチ未適用であることを示しています。一度インストールされると、BadCandyは侵害されたデバイス上でルート権限でコマンドを実行することを可能にします。このウェブシェルは再起動時にデバイスから削除されます。しかし、これらのデバイスにパッチが適用されておらず、ウェブインターフェースがアクセス可能なままであることを考えると、攻撃者は容易に再導入することができます。
オーストラリアにおける感染状況
「2025年7月以降、ASDはオーストラリアで400以上のデバイスがBadCandyに感染した可能性があると評価しています」と速報は述べています。「2025年10月下旬現在、オーストラリアでは依然として150以上のデバイスがBadCandyに感染しています。」感染数は減少しているものの、当局は、侵害されたエンティティが適切に警告されたにもかかわらず、同じエンドポイントに対する脆弱性の再悪用の兆候を認識しています。当局によると、攻撃者はBadCandyインプラントが削除されたことを検出し、同じデバイスを標的として再導入することができます。
対応と攻撃者の特定
継続する攻撃に対応して、オーストラリア信号局(ASD)は被害者に通知を送り、パッチ適用、デバイスの強化、インシデント対応に関する指示を含んでいます。所有者が特定できないデバイスについては、ASDはインターネットサービスプロバイダーに代わって被害者に連絡するよう求めています。ASDは、この脆弱性が以前、中国の「Salt Typhoon」のような国家主体によって悪用されたことがあると述べており、彼らは米国とカナダの主要な通信サービスプロバイダーに対する一連の攻撃の責任者であると考えられています。当局は、BadCandyは理論的には誰でも使用できるものの、最近の急増は「国家支援のサイバーアクター」に起因すると考えています。
推奨事項
オーストラリアを含む世界中のCisco IOS XEシステムの管理者は、ベンダーのセキュリティ速報にある緩和策の推奨事項に従うべきです。Ciscoはまた、IOS XEデバイス向けの詳細な強化ガイドを公開しています。